De las firmas escaneadas y otros demonios

Andrés Guzmán Caballero

 

Profesor de pruebas técnicas y documentos electrónicos

 

andres@adalid.com

 

Los primeros documen­tos firmados en la his­toria de la humanidad están en restos óseos. Así, el hueso de Ishango es el peroné de un ba­buino encontrado cerca de una de las fuentes del Nilo, en la República Demo­crática del Congo. Parece haber sido usado para contar, haciendo marcas, tiene 20.000 años, con el grabado de su autor y su firma.

 

Ahora bien, los primeros con­tratos “escritos” de la humanidad se hicieron con tierra, una bulla era una especie de sobre de arcilla en el que se metían piezas tam­bién de arcilla. El conjunto era un contrato: lo que se escribía afuera y lo que se encontraba adentro confirmaban los términos, más el símbolo de las partes que consti­tuía una firma. Eso fue hace más de 7.000 años.

 

En la actualidad, en vista del panorama de salud, se están fir­mando, por regla general, todos los documentos de forma electró­nica. Correos, links, chats, zooms, lives y redes son nuestro día a día. Es difícil pensar o imaginar cómo en 7, 70, 700 o 7.000 años lo verán los habitantes de este u otros planetas, para saber lo que acá ocurrió y, lo más inquietante, saber si en el corto plazo estos do­cumentos tendrán alguna validez jurídica y probatoria.

 

Vínculo jurídico

 

Sin ir más allá en los preludios, recordemos que una firma es el vínculo jurídico que existe entre una persona y un documento, es un símbolo de aceptación del contenido de algo. Es tan impor­tante que existe alrededor todo un sistema de garantías, que van desde la creación de un proceso notarial, hasta la obtención de complejos sistemas algorítmicos en las firmas digitales.

 

Así las cosas, por medio de las firmas se crean, constituyen, traspasan, renuncian, sustitu­yen, obligan, delegan y derogan derechos y obligaciones. En fin, son de gran importancia y, por ello, en su creación se deben te­ner unos mínimos de fiabilidad y garantizar su autenticidad o, a falta de esta, prever métodos con los que se pueda corroborar, que, como veremos, están regulados hace bastante tiempo.

 

En primer lugar, debemos te­ner en cuenta la normativa que existe en Colombia respecto a las firmas electrónicas. De esta forma, la Ley 527 de 1999, en su artículo 7º, las define, al tiempo que el Conpes 3620 del 2009 recomendó promover el uso de firma electrónica como medio alternativo a la firma digital.

 

Por otro lado, el Decreto 019 del 2012 autorizó la crea­ción de certificados de firma electrónica y firma digital para las entidades de certificación y el Decreto 2364 del 2012 dispuso como firma electrónica “métodos tales como códigos, contraseñas, datos biométricos o claves crip­tográficas privadas, que permi­ten identificar a una persona, en relación con un mensaje de datos …”. Con esto, estableció como requisito de confiablidad dos características que deberán ser concomitantes: “1. Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante. 2. Es posible detectar cualquier alteración no autoriza­da del mensaje de datos, hecha después del momento de la fir­ma”. Finalmente, el Decreto 620 del 2020 estableció los mecanis­mos de autenticación y firma de documentos electrónicos.

 

Ahora bien, me sorprendió que el Decreto 806 del 2020 haya incluido una norma en la que valida el otorgamiento de poderes judiciales con tan solo la “antefir­ma” (el nombre de la persona). En mi opinión, este es un retroceso en los procesos de confianza en el sistema judicial y en los pro­pios documentos, pues, además de desconocer toda la normativa en materia de firmas electrónicas que existe en Colombia, genera un grave riesgo desde el punto de vista documental, dejando casi desprovistos de armas a los jueces al identificar firmas y documentos idóneos, que seguro se prestarán para miles de problemas.

 

Tipos de firmas electrónicas

 

Por lo anterior, es importarte entender los tipos de firmas elec­trónicas, algunos ejemplos de las mismas y qué no es una firma electrónica.

 

– Firma electrónica. Son métodos tales como códigos, contraseñas, datos biométricos o claves criptográficas privadas que permiten identificar a una persona en relación con un men­saje de datos, siempre y cuando este sea confiable y apropiado res­pecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo perti­nente. Hay tres tipos de firma electrónica: simple, biométrica y digital (D. 2364 de 2012)

 

– Firma electrónica simple-compleja. Es una firma electróni­ca simple, a la que se le añade un medio adicional de verificación o firma, como un sistema de confrontación de información, una OTP (One Time Password), mensaje de texto de verificación, u otro similar, regulada por el Decreto 2364 del 2012. La firma electrónica simple-compleja pue­de ser activa o pasiva. La primera es cuando el firmante proporciona directamente el sistema de verifi­cación adicional, mientras que la segunda es cuando es el sistema el que la valida.

 

– Firma electrónica biomé­trica. Son firmas electrónicas en los que la identidad del firmante queda asociada a la captura o el cotejo de sus datos biométricos, que pueden ser de distintos tipos: iris, rostro, huella o voz, entre otras. Está regulada por el De­creto 2364 del 2012.

 

– Firma digital. Es un valor numérico adherido a un mensaje de datos que permite determi­nar, de un lado, la identidad del creador del mensaje y, del otro, que dicho mensaje no ha sido modificado posteriormente. Se encuentra regulada por los ar-tículos 2º, 7º y 28 de la Ley 527 de 1999. Las firmas digitales son emitidas por una entidad de certi­ficación avalada por el Organismo Nacional de Acreditación (Onac).

 

Ejemplos de firmas electrónicas más comunes

 

A continuación, daremos algunos ejemplos de las firmas electrónicas más comunes:

 

(i) Identificación de regis­tro. Los datos de registro utili­zados por el sistema se podrán usar como firma, es decir aquella información capturada del usua­rio directamente o por interme­dio del sistema, como sus datos personales, incluso biométricos, los logs o registros de conexión, la dirección IP y cualquier dato unido a esta información o el conjunto de la misma.

 

(ii) Datos de navegación. Se podrán capturar como firma o parte de la misma los datos de navegación en el sitio web, la apli­cación o medios digitales. Dentro de esta información, se podrán incluir cookies u otra informa­ción específica de navegación o tiempo de conexión, incluso el registro de apertura de un link o las aplicaciones de la persona.

 

(iii) ‘Clickwrap’. Es posible firmar y aceptar condiciones de uso, acuerdos, formularios y, en general, toda clase de documen­tos haciendo un clic en “acepto” o en un cuadro de verificación predefinido para esto. La persona guardará el log o registro de esta transacción, lo que se convertirá, en conjunto con el documento y demás datos capturados, en la firma electrónica de los docu­mentos, teniendo plena validez probatoria.

 

(iv) Firma biométrica. Es posible validar documentos electrónicos con firmas biomé­tricas, como la huella dactilar, la fotografía del firmante, el re­gistro en video del firmante, el registro o la grabación de la voz o, en general, cualquier dato que provenga directamente del cuer­po del firmante, sus documentos de identificación, el conjunto de los mismos, la verificación o el cotejo con cualquier sistema in­formación, que será adherida al documento o, por sí mismos, se incluirá, como los videos.

 

(v) One Time Password (OTP). A través de una con­traseña enviada directamente al usuario, se podrán firmar do­cumentos, utilizando el correo electrónico, un mensaje de texto, un mensaje por redes sociales o un número generado por un token, que el usuario deberá es­cribir directamente en el sistema, como aceptación explícita de su consentimiento y firma.

 

(vi) Firmas electrónicas sim­ples. También se podrá tener co­mo firmas electrónicas cualquier tipo de mensaje de datos, sin im­portar el formato o la plataforma en la que se genere o conserve, tales como la dirección de co­rreo electrónico del firmante, el número de teléfono, el número de identificación, la fecha de ex­pedición del documento de iden­tidad, la validación de bases de datos, el nombre de usuario y la contraseña registrados por el fir­mante o cualquier dato adherido al mensaje que pueda identificar plenamente al firmante.

 

(vi) Firmas digitales. Es válido enviar mensajes de datos con firma digital, actos adminis­trativos, poderes y, en general, cualquier tipología documental. La persona definirá en cada caso la asignación funcional interna y la necesidad de estas, que se utilizarán de conformidad con los atributos exigidos en el artículo 28 de la Ley 527 de 1999.

 

¿Qué no es una firma electrónica?

 

Finalmente, es importante señalar que no son firmas elec­trónicas las escaneadas puestas sobre documentos, las dibuja­das simplemente en un PDF o un archivo de Word o el simple nombre (antefirma) puesto en un documento electrónico. Es obvio, cualquiera podría haberla hecho. Además, hay que tener en cuenta que, por sí solas, no cumplen con el requisito de pertenecer tan solo al firmante. No obstante, podrían ser válidas, por ejemplo, si se en­vían en un mensaje de datos y se puede determinar claramente si este se modificó, a la luz del Decreto 2364 del 2012.